Home > 전체기사

새로 등장한 커스텀 멀웨어 냅리스너, 네트워크 기반 탐지 기술의 악몽

  |  입력 : 2023-03-23 14:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
남아시아와 동남아시아 조직들을 집중적으로 노리는 공격 단체 REF2924는 그 지역 기업들의 사정을 잘 아는 것으로 보인다. 그렇기에 이들은 네트워크 탐지 기술을 회피하는 데 온전히 집중하여 멀웨어들을 만들어낸다.

[보안뉴스 문가용 기자] 보안 업체 엘라스틱시큐리티(Elastic Security)가 REF2924라는 이름을 붙인 해킹 조직이 새로운 데이터 탈취용 멀웨어를 사용하고 있다는 사실이 발견됐다. 이 멀웨어에는 냅리스너(Naplistener)라는 이름이 붙였고, C#으로 만들어진 HTTP 리스너(HTTP listener)의 일종이다. 현재까지 REF2924는 냅리스너를 동남아시아 조직들을 겨냥하여 사용하는 중이라고 한다.

[이미지 = utoimage]


엘라스틱시큐리티의 수석 연구 엔지니어인 렘코 스프루텐(Remco Sprooten)에 의하면 동남아시아와 남아시아 지역에서는 “네트워크 기반 탐지 및 예상 기술이 주류 보안 방법론”이라고 한다. “그런데 냅리스너는 바로 이 네트워크 기반 탐지 기술을 우회하는 기능을 가지고 있지요. 이 지역을 잘 알고 있는 자들이 기획하고 실현한 공격이라고밖에 볼 수가 없습니다.” 엘라스틱의 엔지니어링 부문 대표인 제이크 킹(Jake King)의 설명이다. 현재 냅리스너는 실행파일 형태(Wmdtc.exe)로 유포되고 있다고 한다. 1월 20일경부터 윈도 서비스 형태로 피해자의 시스템에 설치돼 운영되는 중이다.

탐지 회피에 집중하고 있는 공격자들
중요한 건 냅리스너가 REF2924가 만든 커스텀 멀웨어 중 하나일 뿐이라는 사실이다. “REF2924는 자신들의 목적에 맞는 멀웨어를 그 때 그 때 만들어 활용하는 데 능숙한 단체입니다. 특히 탐지 기술을 회피하는 데에 많은 노력을 기울입니다. 그리고 오픈소스 기술들을 적극 활용해 멀웨어를 만든다는 특징도 가지고 있지요. 이들은 주로 정상적인 네트워크 자산들을 악용함으로써 탐지 기술을 회피하는 방식을 취합니다.” 킹의 설명이다.

물론 정상적인 서비스나 장비를 사칭하여 몰래 숨어드는 기능을 가진 멀웨어를 사용하는 게 REF2924만의 고유한 전략이나 기술은 아니다. “하지만 REF2924처럼 거의 모든 공격에서 그런 회피 능력을 가진 멀웨어를 만들어 활용하는 단체는 드뭅니다. 이들만큼 네트워크 탐지 기술을 회피하는 데에 총력을 기울이는 공격 단체를 본 적이 없습니다. 정상적인 네트워크 프로세스를 자주 사칭하다 보니 이들만큼 그 기술을 능숙하게 활용하는 단체도 별로 없습니다. 그런 점에서 상당히 독특하다고 할 수 있죠.”

커스텀 멀웨어
REF2924가 최근에 사용한 커스텀 멀웨어만 정리해도 세 가지나 된다고 엘라스틱시큐리티는 설명한다.
1) 냅리스너 : 웹 서버들의 패턴을 흉내 냄으로써 탐지 기술을 회피한다.
2) 시에스타그래프(SiestaGraph) : MS 클라우드 서비스를 C&C로 활용함으로써 탐지를 회피한다.
3) 솜니레코드(Somnirecord) : DNS 프로토콜 트래픽으로 위장해 탐지를 회피한다.
킹은 “네트워크 기반 탐지 기술에 대한 의존도가 높으면 높을수록 이 멀웨어들은 강력한 힘을 발휘한다”고 말한다.

그렇다면 네트워크 기반 탐지 기술을 바탕으로 보안 아키텍처를 구성하고 있는 조직들은 어떻게 해야 REF2924와 같은 조직들의 공격에서 안전할 수 있을까? 킹은 “엔포인트 탐지 및 대응 기술까지 적용해야 한다”고 말한다. “엔드포인트 탐지 및 대응 기술, 즉 EDR은 이미 전 세계 여러 지역에서 흔히 사용되는 보안 기술입니다. 그런 흐름에 동참하기만 해도 REF2924와 같은 조직의 공격은 막을 수 있습니다.”

킹은 “어차피 네트워크 기반 탐지 기술은 한계가 분명하다”며 “EDR이 대세가 된 것에는 이유가 있다”고 짚는다. “현대 조직들의 네트워크는 아주 빠른 속도로 복잡해져가고 있습니다. 복잡한 네트워크는 공격자들이 침투할 곳도 많고 숨어 있을 곳도 많은 환경이 됩니다. 이런 식으로 네트워크 장비들과 공격자들이 동거하게 된다면 조직의 안전이라는 것은 점점 더 꿈 같은 소리가 될 뿐입니다. 언젠가 EDR로 옮겨야 할 것은 분명한 사실입니다.”

그 외에 출구 필터링(egress filtering) 기술도 냅리스너와 같은 멀웨어를 차단하는 데 도움이 될 수 있다고 킹은 덧붙인다. 내부에서 외부로 빠져나가는 트래픽을 점검하여 거를 수 있다면 정보 탈취가 원활하지 않게 된다는 것이다. “하지만 출구 필터링만으로 영원히 정보 탈취 행위를 막을 수는 없습니다. 확장성에서 약점이 분명한 방법이기 때문입니다.”

3줄 요약
1. REF2924라는 공격 조직, 네트워크 탐지 회피에 진심.
2. 특히 정상 네트워크 서비스를 흉내 낸 프로세스를 만들어 탐지를 회피하는 게 주특기.
3. 공격이 필요할 때 오픈소스 활용해 커스텀 멀웨어도 자주 만듦.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)